Top 10 plateformes CTF pour enseignants : jeopardy, classe et self-hosted
Introduction : pourquoi le choix de la plateforme conditionne l'apprentissage
Utiliser un CTF (Capture The Flag) en cours de cybersécurité, c'est une décision pédagogique solide. La résolution de challenges techniques en conditions réelles développe des compétences que ni un cours magistral ni un QCM ne peuvent reproduire : débrouillardise, persévérance, lecture critique de la documentation, sens de la piste.
Mais la plateforme choisie n'est pas un détail d'exécution. Elle détermine l'expérience d'onboarding de vos étudiants, les contraintes réglementaires auxquelles votre établissement devra répondre, la qualité du suivi pédagogique que vous pourrez assurer, et parfois le budget que vous devrez justifier. Une mauvaise plateforme transforme la première session en galère technique — et vous perdez les étudiants avant même qu'ils aient résolu leur premier challenge.
Cet article compare dix plateformes réelles et utilisées, organisées en deux familles : les plateformes jeopardy grand public, accessibles à tout un chacun, et les plateformes orientées enseignement, conçues pour la gestion de groupes, le suivi de progression ou l'organisation d'événements internes. Pour chaque famille, un tableau récapitulatif vous permet de comparer d'un coup d'œil les critères qui comptent vraiment en contexte scolaire.
Les critères de sélection pour un usage en classe
Avant d'entrer dans le détail des plateformes, il faut définir ce qui importe vraiment lorsqu'on enseigne, par opposition à ce qui compte pour un praticien qui s'entraîne seul.
Coût et modèle tarifaire
Le coût affiché sur le site marketing est rarement le coût réel en classe. La plupart des plateformes proposent un tier gratuit limité et un tier payant par utilisateur ou par groupe. Chiffrez le coût réel pour votre cohorte avant de vous engager : une plateforme à 10 € / mois par étudiant devient très onéreuse pour une promotion de 80 personnes.
Conformité RGPD et hébergement des données
C'est le critère le plus souvent négligé — jusqu'au moment où la DSI ou le DPO de l'établissement pose des questions. Trois points à vérifier systématiquement : l'hébergement des données (serveurs en UE ou hors UE), la politique de collecte de données personnelles, et la capacité à créer des comptes pseudonymisés pour vos étudiants. Les plateformes américaines hébergées aux États-Unis tombent sous le droit américain (Cloud Act) et posent des problèmes légitimes dans les établissements publics français.
Self-hosted vs SaaS
Un déploiement self-hosted vous donne le contrôle total : pas de données qui quittent votre infrastructure, personnalisation des challenges, pas de coût par utilisateur. La contrepartie, c'est la charge d'administration (installation, mises à jour, sauvegardes, disponibilité). Le modèle SaaS est plus rapide à démarrer, mais vous dépendez de la politique tarifaire et de la stabilité du service tiers.
Niveau cible et progression pédagogique
Certaines plateformes partent d'emblée sur des challenges niveau intermédiaire à avancé. Pour un public de première année ou de reconversion, l'écart entre « pas de prérequis » et « bases de Linux et Python indispensables » est déterminant. Vérifiez que la plateforme propose des challenges adaptés au bas de votre distribution de niveau.
Facilité d'onboarding
Combien de temps faut-il à un étudiant sans expérience CTF pour créer son compte, lire les consignes du premier challenge et soumettre un premier flag ? Une onboarding fluide en moins de dix minutes, c'est une session gagnée. Une onboarding qui nécessite un guide de quatre pages et une connexion VPN, c'est une heure de cours perdue en support technique.
Plateformes jeopardy grand public
Ces cinq plateformes sont accessibles à tout utilisateur qui crée un compte. Elles ne sont pas nativement conçues pour la gestion de classe, mais leur richesse en challenges et leur accessibilité en font des références incontournables pour les travaux pratiques.
TryHackMe
TryHackMe est sans doute la plateforme la plus accessible pour des débutants complets. Elle propose des « rooms » — des parcours guidés qui mêlent cours théoriques, challenges pratiques et machines vulnérables accessibles directement depuis le navigateur via un client VPN intégré ou une machine AttackBox web. Pas besoin d'installer Kali Linux localement.
Le modèle freemium est généreux : un grand nombre de rooms sont accessibles gratuitement. L'abonnement premium débloque la totalité du catalogue, les rooms privées et des fonctionnalités de suivi de classe (« Classrooms »). Le mode Classrooms permet à l'enseignant de créer un groupe, d'assigner des rooms et de suivre la progression de chaque étudiant — c'est un avantage différenciant par rapport aux autres plateformes grand public.
Les serveurs sont hébergés au Royaume-Uni. Depuis le Brexit, le Royaume-Uni bénéficie d'une décision d'adéquation de la Commission européenne, ce qui facilite le transfert de données depuis l'UE, même si la situation reste à surveiller. L'usage de pseudonymes étudiants reste conseillé.
Cas d'usage en cours : idéal pour des TP structurés en L3 ou BUT R&T, où l'on peut assigner une room spécifique à la notion vue en cours (ex : room dédiée aux injections SQL, aux protocoles réseau, à Linux).
Hack The Box
Hack The Box (HTB) est la référence pour les profils intermédiaires et avancés. Les machines HTB sont des environnements complets à compromettre de A à Z — de l'énumération à l'élévation de privilèges. La qualité et le réalisme des scénarios sont supérieurs à la majorité des alternatives.
L'accès aux machines actives est gratuit avec un compte standard ; les machines retirées (« retired ») nécessitent un abonnement VIP. Pour un usage en classe avancée — notamment pour préparer vos étudiants à la certification OSCP ou à un cours de pentest approfondi — HTB est difficilement contournable.
La gestion de classe n'est pas native sur le tier grand public. HTB Enterprise propose des fonctionnalités de gestion de groupe et de reporting, mais c'est un produit commercial distinct. Les données sont hébergées aux États-Unis dans la version standard ; vérifiez les conditions pour la version Enterprise si vous envisagez cette option.
Cas d'usage en cours : exercices libres en fin de semestre pour les profils avancés, préparation à des certifications offensives, challenge de fin de module en M1/M2 sécurité.
PicoCTF
PicoCTF est développé par l'université Carnegie Mellon (CMU) aux États-Unis, spécifiquement pour un public lycéen et universitaire débutant. Les challenges couvrent les catégories classiques (web, cryptographie, forensic, binaire, général) avec une progression très bien calibrée — les premiers challenges sont résolvables sans aucun prérequis technique.
L'ensemble de la plateforme est gratuit. Pas de tier payant, pas de fonctionnalités cachées derrière un abonnement. Les données sont hébergées aux États-Unis (CMU), ce qui soulève les mêmes questions RGPD que les autres plateformes américaines. Cependant, le fait que PicoCTF soit opéré par une université sans finalité commerciale simplifie l'argumentaire auprès d'un DPO.
La plateforme organise également un événement annuel — la PicoCTF competition — qui constitue une excellente opportunité de faire participer vos étudiants à un CTF compétitif mondial sans sortir du cadre pédagogique habituel.
Cas d'usage en cours : introduction au CTF en première année de BUT ou de licence, TP de découverte lors d'une première semaine de module cybersécurité, événement parascolaire pour les clubs cyber.
Root-Me
Root-Me est une plateforme française, hébergée en France, avec une communauté très active dans l'enseignement francophone. Elle propose plus de 500 challenges classifiés par catégorie et par niveau de difficulté, couvrant des domaines très variés : réseau, web, app scripting, forensic, stéganographie, réalisme.
L'accès de base est gratuit. Un abonnement premium débloque des statistiques avancées, la mise en place de challenges privés et quelques fonctionnalités supplémentaires. Root-Me est l'une des rares plateformes grand public avec un hébergement européen confirmé, ce qui en fait un choix naturel pour les établissements publics français soucieux de conformité.
L'interface est moins moderne que TryHackMe, et il n'existe pas de mode « classroom » natif. Mais la richesse du catalogue et l'hébergement local compensent largement ces limitations pour des TP autonomes.
Cas d'usage en cours : TP maison en dehors des heures de cours, liste de challenges à compléter pendant le semestre avec un barème de points, préparation à un concours CTF interne.
OverTheWire
OverTheWire propose des « wargames » — des séries de challenges progressifs accessibles par SSH, sans interface web graphique. Chaque wargame porte sur un thème précis : Bandit pour les bases de Linux, Natas pour la sécurité web, Leviathan et Narnia pour les bases de l'exploitation binaire.
La plateforme est entièrement gratuite et gérée par une communauté open source. Il n'y a pas de gestion de compte utilisateur ni de tableau de bord — les étudiants se connectent directement en SSH et progressent niveau par niveau. C'est délibérément minimaliste, et c'est une force pédagogique : les étudiants apprennent à travailler en ligne de commande sans filet.
Pas de données personnelles collectées (pas de compte à créer), donc zéro friction RGPD. En revanche, l'absence de suivi de progression côté enseignant est une limitation réelle. Vous ne pouvez pas savoir où en sont vos étudiants sans leur demander directement.
Cas d'usage en cours : module dédié à Linux et à la ligne de commande (Bandit comme fil rouge), introduction à la sécurité web offensive (Natas), exercice individuel noté sur l'honneur.
Tableau comparatif — Plateformes jeopardy grand public
| Plateforme | Format | Coût | Hébergement | Niveau | Gestion de classe |
|---|---|---|---|---|---|
| TryHackMe | Rooms guidées + machines | Freemium (abonnement pour Classrooms) | Royaume-Uni | Débutant à intermédiaire | Oui (mode Classrooms) |
| Hack The Box | Machines complètes | Freemium (VIP pour retired) | États-Unis | Intermédiaire à avancé | Non (Enterprise séparé) |
| PicoCTF | Jeopardy par catégorie | Gratuit | États-Unis (CMU) | Débutant | Non |
| Root-Me | Jeopardy + réseau | Freemium | France 🇫🇷 | Débutant à avancé | Non |
| OverTheWire | Wargames SSH | Gratuit | Communauté (EU) | Débutant à intermédiaire | Non |
Plateformes orientées classe et enseignement
Ces cinq plateformes sont conçues, au moins en partie, pour des contextes d'enseignement structuré : gestion de cohortes, création de challenges personnalisés, reporting, intégration LMS.
CTFd (self-hosted)
CTFd est le moteur open source de référence pour héberger ses propres compétitions CTF. Disponible sur GitHub, déployable via Docker en quelques minutes, il supporte les challenges jeopardy, la gestion d'équipes, le scoreboard dynamique, les hints, les fichiers attachés et les challenges dynamiques (points qui diminuent à mesure que des équipes résolvent le challenge).
En self-hosted, le coût est nul (hors infrastructure). Vous maîtrisez totalement les données, l'hébergement, la personnalisation. C'est la solution de choix pour organiser un CTF pédagogique en interne, créer vos propres challenges sur les notions du cours, ou monter un événement annuel pour toute une promotion.
La contrepartie : vous êtes responsable de la maintenance, des mises à jour et de la disponibilité. Pour un événement annuel d'une journée, c'est gérable. Pour un service permanent en production, il faut prévoir une capacité d'administration.
Il existe également une offre CTFd Cloud (SaaS géré par l'éditeur) qui lève la contrainte d'administration mais introduit un coût et une dépendance à l'hébergement américain.
Cas d'usage en cours : événement CTF de fin de module, challenges maison créés par l'enseignant sur les notions du semestre, compétition inter-écoles organisée depuis votre propre infrastructure.
HackTheBox Academy
HackTheBox Academy est une branche distincte de Hack The Box, orientée apprentissage structuré plutôt que challenge libre. Elle propose des modules théoriques et pratiques organisés en parcours thématiques, avec des exercices guidés sur des machines dédiées.
Le modèle tarifaire est basé sur des « cubes » (crédits) achetables à l'unité ou via un abonnement. Certains modules sont gratuits ; la majorité des modules avancés est payante. Il n'existe pas, à ce jour, d'offre institutionnelle standardisée pour les établissements — chaque module se paie individuellement, ce qui peut rendre la budgétisation complexe pour un cursus entier.
La qualité pédagogique est reconnue : les modules suivent une progression logique, les explications sont détaillées, et les environnements pratiques fonctionnent de façon fiable. Pour un cours de cours bug bounty ou un module pentest applicatif, les parcours dédiés de HTB Academy constituent un complément de qualité.
Cas d'usage en cours : autoformation guidée pour les étudiants avancés, module de rattrapage pour les étudiants qui manquent de bases, parcours de préparation à une certification offensive.
RangeForce
RangeForce est une plateforme commerciale américaine orientée formation en cybersécurité défensive et SOC. Elle propose des modules interactifs sur des thématiques comme l'analyse de logs, la réponse à incident, la détection d'intrusion, et l'utilisation d'outils de la chaîne bleue (SIEM, EDR, etc.).
La plateforme intègre des fonctionnalités de gestion de classe natives : création de groupes, assignation de modules, suivi de progression par apprenant, reporting exportable. C'est un argument fort pour les formateurs qui ont besoin de traçabilité pédagogique.
Le modèle tarifaire est commercial (devis sur demande pour les établissements), et l'hébergement est américain. RangeForce s'adresse plutôt à la formation professionnelle continue et aux grandes entreprises qu'aux lycées ou IUT, mais peut avoir sa place dans des Masters spécialisés en Blue Team ou en SOC.
Cas d'usage en cours : module SOC et analyse forensique en M2, formation continue pour des personnels techniques qui basculent vers la cybersécurité, certification interne entreprise.
CyberDefenders
CyberDefenders est une plateforme dédiée aux compétences Blue Team : analyse de captures réseau (PCAP), investigation forensique, threat hunting, analyse de malware. Le modèle s'articule autour de labs structurés disponibles en plusieurs difficultés, avec des questions guidées pour maintenir le fil de l'investigation.
L'accès basique est gratuit et donne accès à un nombre significatif de labs. Un abonnement premium débloque l'ensemble du catalogue et des fonctionnalités de suivi. La plateforme est particulièrement bien adaptée aux enseignants qui forment à l'analyse et à la défense plutôt qu'à l'attaque — c'est un complément naturel à HTB ou TryHackMe dans un cursus complet.
Les données sont hébergées aux États-Unis. Il n'existe pas de mode classe officiellement intégré, mais l'enseignant peut structurer des listes de labs à compléter et vérifier les résultats manuellement via les scores.
Cas d'usage en cours : TP de forensique réseau sur des cas réels anonymisés, module de Blue Team en complément d'un cours de détection d'intrusion, challenge forensique en binôme pour travailler la collaboration.
Tableau comparatif — Plateformes orientées classe et enseignement
| Plateforme | Format | Coût | Hébergement | Niveau | Gestion de classe |
|---|---|---|---|---|---|
| CTFd self-hosted | Jeopardy personnalisable | Gratuit (open source) | Votre infra 🇫🇷 | Tous niveaux | Oui (natif) |
| HTB Academy | Modules guidés | Freemium (cubes) | États-Unis | Intermédiaire à avancé | Partiel |
| RangeForce | Labs Blue Team | Commercial (devis) | États-Unis | Intermédiaire à avancé | Oui (natif) |
| CyberDefenders | Labs forensic/Blue Team | Freemium | États-Unis | Intermédiaire à avancé | Non |
Note : CTFtime n'est pas une plateforme de challenges mais un agrégateur de compétitions CTF mondiales. Il permet aux enseignants de repérer des CTF publics adaptés au niveau de leurs étudiants et de les y inscrire ponctuellement — c'est un outil de veille, pas une plateforme d'entraînement.
Intégration LMS et SSO : ce qu'il faut vérifier
Si votre établissement utilise un LMS (Moodle, Canvas, Blackboard) ou un fournisseur d'identité institutionnel (ENT, SSO SAML/OIDC), la question de l'intégration se pose inévitablement.
Côté authentification : très peu de plateformes CTF grand public supportent le SSO institutionnel nativement. TryHackMe et HTB Academy ne proposent pas d'intégration SSO sur leurs tiers standard. CTFd self-hosted, en revanche, supporte des plugins d'authentification OAuth2 et SAML — ce qui permet de connecter vos étudiants via leurs identifiants ENT sans créer de comptes séparés.
Côté remontée de données dans le LMS : aucune des plateformes listées ne s'intègre nativement à Moodle via LTI (Learning Tools Interoperability) sur leurs tiers publics. La solution pragmatique est d'exporter les résultats (CSV ou API quand disponible) et de les importer manuellement dans votre carnet de notes LMS en fin de module.
Ce qu'il faut vérifier avant de choisir :
- La plateforme expose-t-elle une API de suivi de progression (scores, challenges complétés, temps passé) ?
- Le modèle de comptes supporte-t-il les pseudonymes ou identifiants non nominatifs pour les étudiants ?
- Existe-t-il une option d'exportation CSV des résultats pour une remontée manuelle dans le LMS ?
- La plateforme propose-t-elle un tableau de bord enseignant distinct des comptes étudiants ?
- Les conditions générales autorisent-elles un usage institutionnel et encadrent-elles clairement le traitement des données des mineurs éventuels ?
Pour les établissements avec des contraintes d'intégration fortes, CTFd self-hosted reste la seule option offrant un contrôle complet sur l'authentification, les données et les exports.
Combien de plateformes utiliser dans un semestre ?
La tentation de combiner plusieurs plateformes est réelle — chacune a ses forces. Mais multiplier les comptes et les interfaces nuit à l'apprentissage, surtout pour des publics novices. Voici une recommandation par niveau.
Niveau débutant (L1, L2, BUT 1re année)
Une seule plateforme. PicoCTF ou TryHackMe selon votre contrainte RGPD. L'énergie cognitive des étudiants doit aller aux challenges, pas à la prise en main de plusieurs interfaces. Complétez éventuellement avec OverTheWire Bandit si vous avez un module Linux dédié — mais c'est un usage parallèle, pas une deuxième plateforme principale.
Niveau intermédiaire (L3, BUT 3e année, M1 généraliste)
Deux plateformes maximum. Une plateforme structurée pour les TP assignés (TryHackMe Classrooms ou CTFd self-hosted avec vos propres challenges) et une plateforme libre pour l'autoformation (Root-Me ou HTB selon les profils). Laissez les étudiants choisir leur plateforme libre — l'autonomie est déjà un objectif pédagogique.
Niveau avancé (M2 spécialisé, formations professionnelles)
Deux ou trois plateformes selon les modules. HTB pour les labs offensifs, CyberDefenders ou RangeForce pour les modules défensifs, CTFd self-hosted pour les événements internes. À ce niveau, les étudiants sont suffisamment autonomes pour s'adapter aux interfaces. La richesse des scenarios prime sur la cohérence d'interface.
Dans tous les cas, documentez dans votre syllabus la liste des plateformes utilisées, les données demandées à l'inscription et la politique RGPD associée. C'est une bonne pratique, et c'est ce que votre DPO vous demandera si vous êtes dans un établissement public.
Ce qu'il faut retenir
-
Le critère RGPD n'est pas optionnel. Hébergement EU, pseudonymisation des comptes étudiants, absence de collecte commerciale — ces trois points doivent être vérifiés avant toute inscription en masse. Root-Me (France) et CTFd self-hosted sont les options les plus sûres pour les établissements publics français.
-
Pour débuter, une plateforme suffit. PicoCTF pour les débutants, TryHackMe pour un public un peu plus large avec besoin de suivi de classe — choisissez l'une ou l'autre et restez-y pendant tout le semestre.
-
Le self-hosted n'est pas réservé aux experts. CTFd se déploie en quelques minutes avec Docker. Si vous avez accès à un serveur Linux dans votre établissement, vous pouvez avoir votre propre plateforme opérationnelle en moins d'une heure — et y déposer vos propres challenges alignés avec votre cours.
-
Le mode Blue Team est sous-représenté dans les curricula. CyberDefenders et RangeForce couvrent des compétences (forensic, analyse de logs, réponse à incident) qui manquent souvent dans les cursus axés sur l'attaque. Un équilibre Jeopardy offensif / labs défensifs est plus représentatif du marché du travail.
-
Un CTF n'est utile que s'il s'intègre au cours. Une plateforme ne crée pas la pédagogie à votre place. Assignez des challenges alignés sur les notions vues en cours, débriefez en groupe après chaque session, valorisez la démarche autant que le résultat.
Pour aller plus loin dans la conception de vos TP et de vos activités pratiques en cybersécurité, explorez les ressources disponibles sur CyberTeachers : guides méthodologiques, retours d'expérience d'enseignants et parcours thématiques pour structurer vos modules de A à Z.